欧洲刑警组织摧毁了感染320万台计算机的RAMNIT僵尸网络
相关标签: # 研究# 恶意软件# 账户# 攻击# 信息
拉姆尼特
美国国家犯罪局(NCA)与欧洲刑警组织欧洲网络犯罪中心(EC3)来自德国、意大利、荷兰和英国的执法机构已经摧毁了Ramnit“僵尸网络”,该网络已在全球感染了320多万台计算机,其中包括英国的33000台。
和宙斯一样,拉姆尼特也是一个僵尸网络“-僵尸计算机网络,在犯罪控制下运行,用于传播病毒、发送包含恶意链接的垃圾邮件和执行分布式拒绝服务攻击(DDoS)为了摧毁目标网站。
RAMNIT认为,通过网络钓鱼电子邮件或社交网站发送的可信链接传播恶意软件,主要针对运行Windows操作系统的人,以便从受害者的银行账户中窃取资金。此外,还发现公共FTP服务器传播恶意软件。
一旦安装,受感染的计算机将由僵尸网络运营商控制。该模块无意中将病毒下载到受害者的计算机上,操作员可以利用该病毒访问个人或银行信息、窃取密码并禁用防病毒保护。
拉姆尼特在一次行动中被关闭
在周二的一份声明中,欧洲刑警组织透露,成功关闭Ramnit僵尸网络涉及微软、赛门铁克和AnubisNetworks的帮助。这些组织关闭了僵尸网络的指挥和控制基础设施,并从Ramnit犯罪运营商使用的总共300个域地址重定向流量。
"这次成功的行动表明了国际执法部门与私营企业合作打击网络犯罪全球威胁的重要性“欧洲刑警组织运营副总监威尔·范·格马特说。”我们将继续努力拆除僵尸网络,破坏犯罪分子用于实施各种网络犯罪的核心基础设施。"
RAMNIT僵尸网络的恶劣特征
赛门铁克表示,Ramnit已经存在了四年多,最初是一种计算机蠕虫。据这家反病毒公司称,Ramnit是一款“功能齐全的网络犯罪工具,具有六个标准模块,为攻击者提供多种方法来危害受害者”其特点是:
- 间谍模块-这是Ramnit最强大的功能之一,因为它监视受害者的网页浏览,并检测他们何时访问网上银行网站。它还可以将自己注入受害者的浏览器,并以一种看似合法的方式操纵银行网站,从而轻松获取受害者的信用卡详细信息。
- 饼干抓取器-这会从网络浏览器中窃取会话cookie,并将其发送回Ramnit运营商,然后他们可以使用cookie在网站上验证自己,并模拟受害者。这可能会让攻击者劫持网上银行会话。
- 驱动器扫描仪-这会扫描电脑的硬盘并从中窃取文件。扫描仪的配置方式是,它可以搜索包含受害者密码等敏感信息的特定文件夹。
- 匿名FTP服务器-通过连接到此服务器,恶意软件允许攻击者远程访问受感染的计算机并浏览文件系统。服务器可用于上传、下载或删除文件并执行命令。
- 虚拟网络计算(VNC)模块-此功能为攻击者提供了另一种远程访问受损计算机的方法。
- FTP抓取器-此功能允许攻击者收集大量FTP客户端的登录凭据。
为什么僵尸网络在被拆除后重新出现?
据当局称,Ramnit僵尸网络已被拆除,但是否能保证僵尸网络不会再次出现?我们也看到了FBI和欧洲刑警组织对GameOver Zeus僵尸网络的攻击,但最后发生了什么?就在一个月后,GameOver Zeus僵尸网络再次投入运行,具有更恶劣的功能。
那么,出了什么问题?为什么僵尸网络攻击无效?其中一个原因可能是,这些组织只抓取并摧毁了构成僵尸网络关键基础设施的一小部分指挥和控制域,但让大部分部分处于活动状态。僵尸网络运营商需要几个月才能恢复。
随着越来越多的僵尸网络被执法部门摧毁,网络犯罪分子越来越多地使用二次通信方法,如对等或域生成算法(DGA)。
僵尸网络重新出现的主要原因之一是,恶意软件的作者没有被捕。无论有多少域名被攻破,或者研究人员创造了多少天坑,如果攻击者没有被逮捕,没有人能阻止他们从零开始构建新的僵尸网络。
在这一点上,我们非常感谢FBI采取措施,奖励300万美元,以获取导致直接逮捕或定罪的信息Evgeniy Mikhailovich Bogachev他被指控是GameOver Zeus僵尸网络的作者,网络犯罪分子利用该僵尸网络从网上银行账户窃取了逾1亿美元。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
